Configurer un réseau VPN MPLS de base

Introduction

Ce document décrit comment configurer un réseau central VPN MPLS (Multiprotocol Label Switching) de base. 

Conditions préalables

Exigences

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Connaissance du routage IP de base
• Connaissance de l'interface de ligne de commande (CLI) de Cisco IOS®

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

P et Routeurs de PE

• Tout routeur Cisco de la gamme Aggregation Services Router (ASR) et Integrated Services Router (ISR) ou tout autre routeur haut de gamme prend en charge les fonctionnalités IP et PE.

C et routeurs de la CE

• Vous pouvez utiliser tout routeur qui peut échanger les informations de routage avec son routeur PE.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Ces lettres représentent les différents types de routeurs et de commutateurs utilisés :

• P  — Routeur du fournisseur

• PE  — Routeur de périphérie du fournisseur

• CE  — Routeur Customer de périphérie

• C  —routeurCustomer

Remarque : Les routeurs PE sont le dernier saut dans le réseau du fournisseur. Ces périphériques se connectent directement aux routeurs CE, qui sont des périphériques appartenant au client qui communiquent avec le réseau du fournisseur de services mais ne participent pas aux opérations MPLS.

Informations générales

MPLS est une technologie de réseau hautes performances qui achemine les données d’un noeud à un autre en utilisant des étiquettes de chemin court au lieu d’adresses réseau longues.

Cette approche accélère et façonne les flux de trafic sur les réseaux des entreprises et des fournisseurs de services.

MPLS attribue des étiquettes aux paquets, qui sont utilisés par les routeurs LSR (Label Switching Routers), ou routeurs IP, pour prendre des décisions de transmission.

Les routeurs de périphérie (LER), ou routeurs PE, à la périphérie du réseau ajoutent et suppriment ces étiquettes.

MPLS utilise les classes d'équivalence de transfert (FEC) pour regrouper les paquets qui sont transférés de la même manière, et le protocole de distribution d'étiquettes (LDP) pour distribuer les mappages d'étiquettes entre les routeurs.

Cela garantit une vue cohérente des liaisons d'étiquettes sur le réseau.

Les avantages de MPLS incluent l'amélioration des performances, l'évolutivité, les capacités d'ingénierie du trafic et la prise en charge de la qualité de service (QoS).

Il est indépendant des protocoles, ce qui en fait une solution polyvalente pour divers environnements réseau.

MPLS est largement utilisé pour créer des réseaux privés virtuels (VPN) évolutifs et sécurisés, gérer et optimiser les flux de trafic et prendre en charge la convergence de différents types de trafic (par exemple, données, voix et vidéo) sur une infrastructure réseau unique.

Ce document fournit un exemple de configuration d'un réseau VPN MPLS où le protocole BGP (Border Gateway Protocol) est utilisé entre les routeurs Provider Edge (PE) et CE Customer Edge (CE).

Lorsqu’elle est utilisée avec MPLS, la fonctionnalité VPN permet à plusieurs sites de s’interconnecter de façon transparente par l’intermédiaire du réseau d’un fournisseur de services.

Un réseau de fournisseur de services peut prendre en charge plusieurs VPN IP différents, chacun apparaissant à ses utilisateurs comme un réseau privé, distinct de tous les autres réseaux.

Dans un VPN, chaque site peut envoyer des paquets IP à n'importe quel autre site dans le même VPN.

Chaque VPN est associé à une ou plusieurs instances de routage et transfert virtuel (VRF). UN VRF se compose d'une table de routage IP, d'une table dérivée de Cisco Express Forwarding (CEF) et d'un ensemble d'interfaces qui utilisent cette table de réacheminement.

Le routeur gère une base d’informations de routage (RIB) et un tableau CEF distincts pour chaque VRF. Cela garantit que les informations ne sont pas envoyées à l'extérieur du VPN, ce qui permet d'utiliser le même sous-réseau dans plusieurs VPN sans provoquer de problèmes d'adresse IP en double.

Le routeur qui utilise BGP multiprotocole (MP-BGP) distribue les informations de routage VPN avec les communautés étendues MP-BGP.

Configuration

Cette section fournit des exemples de configuration et la façon dont ils sont mis en œuvre.

Diagramme du réseau

Ce document utilise cette configuration de réseau, ce diagramme montre une configuration typique qui illustre les conventions décrites précédemment.

Topologie MPLS

Procédures de configuration MPLS

Configuration de MPLS dans le réseau principal

1. Vérifiez que ip cef est activé sur les routeurs où MPLS est requis (CEF est activé par défaut sur les dernières versions logicielles).

2. Configurez un protocole IGP (Interior Gateway Protocol) sur le coeur du fournisseur de services, les protocoles OSPF (Open Shortest Path First) ou IS-IS (Intermediate System-to-Intermediate System) étant les options recommandées, et annoncez le bouclage Loopback0 à partir de chaque routeur IP et PE.

3. Une fois que les routeurs principaux du fournisseur de services sont entièrement accessibles sur la couche 3 (L3) entre leurs boucles, configurez la commande mpls ip sur chaque interface L3 entre les routeurs P et PE ou utilisez la commande mpls ldp autoconfig pour activer le protocole LDP sur chaque interface qui exécute le processus OSPF ou IS-IS.

Remarque : L'interface du routeur PE qui se connecte directement au routeur CE ne nécessite pas la configuration de la commande mpls ip.

Une fois la configuration ip mpls ajoutée aux interfaces, procédez comme suit sur les routeurs PE :

4. Créez un VRF pour chaque VPN connecté à l’aide de la commande vrf definition . Étapes supplémentaires :

Précisez l’indicateur de routage utilisé pour ce VPN. La commande rd est utilisée pour étendre l'adresse IP afin que vous puissiez identifier à quel VPN il appartient.

 vrf definition Client_A
  rd 100:110   

Configurer les propriétés d'importation et d'exportation pour les communautés étendues MP-BGP. Ceux-ci sont utilisés pour filtrer le processus d’importation et d’exportation avec la commande route-target{import|export|both} <target VPN extended community> , comme indiqué dans le résultat suivant :

vrf definition Client_A
 rd 100:110
 route-target export 100:1000
 route-target import 100:1000
 !
 address-family ipv4
 exit-address-family 

5. Sur le routeur PE, ajoutez les interfaces qui connectent le CE au VRF correspondant. Configurez les détails du transfert pour les interfaces respectives avec la commande vrf forwarding et configurez l’adresse IP.

PE-1#show run interface GigabitEthernet0/1
Building configuration...

Current configuration : 138 bytes
!
interface GigabitEthernet0/1
 vrf forwarding Client_A
 ip address 10.0.4.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
end

Configurer MP-BGP

Il existe plusieurs façons de configurer BGP. Par exemple, vous pouvez configurer les routeurs PE en tant que voisins BGP ou utiliser les méthodes de réflecteur de route (RR) ou de confédération. Un réflecteur de route est utilisé dans l'exemple suivant, qui est plus évolutif que l'utilisation de voisins à maillage global entre les routeurs PE :

1. Entrez la commande address-family ipv4 vrf <VRF name> pour chaque VPN présent sur ce routeur PE. Ensuite, effectuez une ou plusieurs des étapes suivantes, selon les besoins :

• Si vous utilisez BGP pour échanger des informations de routage avec le CE, configurez et activez les voisins BGP avec les routeurs du CE.

• Si vous utilisez un autre protocole de routage dynamique pour échanger des informations de routage avec CE, redistribuez les protocoles de routage.

Remarque : En fonction du protocole de routage PE-CE que vous utilisez, vous pouvez configurer n'importe quel protocole de routage dynamique (EIGRP, OSPF ou BGP) entre les périphériques PE et CE. Si BGP est le protocole utilisé pour échanger des informations de routage entre PE et CE, il n’est pas nécessaire de configurer la redistribution entre les protocoles.

2. Sous router bgp erarchy, passez en mode address-family vpnv4 et procédez comme suit :

• Activez les voisins, une session VPNv4 de voisin doit être établie entre chaque routeur PE et le réflecteur de route.

• Spécifiez que la communauté étendue doit être utilisée. Ceci est obligatoire.

Configurations

Le présent document utilise ces configurations pour mettre en place l’exemple de réseau VPN MPLS :

• PE-1 (PE)

• PE-2 (PE)

• P-2 (P)

• RR (RR)

• P-1 (P)

hostname PE-1
!
ip cef
!

!--- VPN Client_A commands.

vrf definition Client_A
 rd 100:110
 route-target export 100:1000
 route-target import 100:1000  
 !
 address-family ipv4
 exit-address-family

!--- Enables the VPN routing and forwarding (VRF) routing table.  
!--- Route distinguisher creates routing and forwarding tables for a VRF. 
!--- Route targets creates lists of import and export extended communities for the specified VRF. 
    

!--- VPN Client_B commands.  

vrf definition Client_B
 rd 100:120
 route-target export 100:2000
 route-target import 100:2000
 !
 address-family ipv4
 exit-address-family  
! 
interface Loopback0
 ip address 10.10.10.4 255.255.255.255
 ip router isis  
!
interface GigabitEthernet0/1
 vrf forwarding Client_A
 ip address 10.0.4.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/2
 vrf forwarding Client_B
 ip address 10.0.4.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45  

!--- Associates a VRF instance with an interface or subinterface. 
!--- GigabitEthernet0/1 and 0/2 use the same IP address, 10.0.4.2. 
!--- This is allowed because they belong to two different customer VRFs. 

!
interface GigabitEthernet0/0
 description link to P-1
 ip address 10.1.1.14 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip

!--- Enables MPLS on the L3 interface connecting to the P router

!  
router isis
 net 49.0001.0000.0000.0004.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0

!--- Enables IS-IS as the IGP in the provider core network 

!
router bgp 65000
 bgp log-neighbor-changes  
 neighbor 10.10.10.2 remote-as 65000  
 neighbor 10.10.10.2 update-source Loopback0

!--- Adds an entry to the BGP or MP-BGP neighbor table. 
!--- And enables BGP sessions to use a specific operational interface for TCP connections.  

!
 address-family vpnv4
  neighbor 10.10.10.2 activate
  neighbor 10.10.10.2 send-community both
 exit-address-family
  
!--- To enter address family configuration mode that use standard VPN version 4 address prefixes.
!--- Creates the VPNv4 neighbor session to the Route Reflector. 
!--- And to send the community attribute to the BGP neighbor. 
 
!
 address-family ipv4 vrf Client_A
  neighbor 10.0.4.1 remote-as 65002
  neighbor 10.0.4.1 activate
 exit-address-family
 !
 address-family ipv4 vrf Client_B
  neighbor 10.0.4.1 remote-as 65001
  neighbor 10.0.4.1 activate
 exit-address-family

!--- These are the eBGP sessions to each CE router belonging to different customers.
!--- The eBGP sessions are configured within the VRF address family

!  
end 

hostname PE-2
!
ip cef
!
vrf definition Client_A
 rd 100:110
 route-target export 100:1000
 route-target import 100:1000
 !
 address-family ipv4
 exit-address-family
!     
vrf definition Client_B
 rd 100:120
 route-target export 100:2000
 route-target import 100:2000
 !
 address-family ipv4
 exit-address-family
!
ip cef
!
interface Loopback0
 ip address 10.10.10.6 255.255.255.255  
 ip router isis 
!
interface GigabitEthernet0/0
 description link to P-2
 ip address 10.1.1.22 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/1
 vrf forwarding Client_B
 ip address 10.0.6.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/2
 vrf forwarding Client_A
 ip address 10.1.6.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
interface GigabitEthernet0/3
 vrf forwarding Client_A
 ip address 10.0.6.2 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
router isis
 net 49.0001.0000.0000.0006.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0
!         
router bgp 65000
 bgp log-neighbor-changes
 neighbor 10.10.10.2 remote-as 65000
 neighbor 10.10.10.2 update-source Loopback0
 !
 address-family vpnv4
  neighbor 10.10.10.2 activate
  neighbor 10.10.10.2 send-community both
 exit-address-family
 !
 address-family ipv4 vrf Client_A
  neighbor 10.0.6.1 remote-as 65004
  neighbor 10.0.6.1 activate
  neighbor 10.1.6.1 remote-as 65004
  neighbor 10.1.6.1 activate
 exit-address-family
 !
 address-family ipv4 vrf Client_B
  neighbor 10.0.6.1 remote-as 65003
  neighbor 10.0.6.1 activate
 exit-address-family
!         
!         
end 

hostname P-2
!
ip cef
!
interface Loopback0
 ip address 10.10.10.3 255.255.255.255
 ip router isis
!
interface GigabitEthernet0/0
 description link to PE-2
 ip address 10.1.1.21 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/1
 description link to P-1
 ip address 10.1.1.6 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/2
 description link to RR
 ip address 10.1.1.9 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
router isis
 net 49.0001.0000.0000.0003.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0
!
end 

hostname RR
!
ip cef
!
interface Loopback0
 ip address 10.10.10.2 255.255.255.255
 ip router isis
!
interface GigabitEthernet0/0
 description link to P-1
 ip address 10.1.1.2 255.255.255.252ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/1
 description link to P-2
 ip address 10.1.1.10 255.255.255.252ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/3
 no ip address
 shutdown
 duplex auto
 speed auto
 media-type rj45
!
router isis
 net 49.0001.0000.0000.0002.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0
!
router bgp 65000
 bgp log-neighbor-changes
 neighbor 10.10.10.4 remote-as 65000
 neighbor 10.10.10.4 update-source Loopback0
 neighbor 10.10.10.6 remote-as 65000
 neighbor 10.10.10.6 update-source Loopback0
 !
 address-family vpnv4
  neighbor 10.10.10.4 activate
  neighbor 10.10.10.4 send-community both
  neighbor 10.10.10.4 route-reflector-client
  neighbor 10.10.10.6 activate
  neighbor 10.10.10.6 send-community both
  neighbor 10.10.10.6 route-reflector-client
 exit-address-family
!
!
end
 

hostname P-1
!
ip cef
!
interface Loopback0
 ip address 10.10.10.1 255.255.255.255
 ip router isis 
!
interface GigabitEthernet0/0
 description link to PE-1
 ip address 10.1.1.13 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/1
 description link to RR 
 ip address 10.1.1.5 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
interface GigabitEthernet0/2
 description link to P-2
 ip address 10.1.1.1 255.255.255.252
 ip router isis 
 duplex auto
 speed auto
 media-type rj45
 mpls ip
!
router isis
 net 49.0001.0000.0000.0001.00
 is-type level-2-only
 metric-style wide
 passive-interface Loopback0
!
end 

hostname CE-A1
!
ip cef
!
interface GigabitEthernet0/0
 ip address 10.0.4.1 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
router bgp 65002
 bgp log-neighbor-changes
 redistribute connected
 neighbor 10.0.4.2 remote-as 65000
!
end 

hostname CE-A3
!
ip cef
!
interface GigabitEthernet0/0
 ip address 10.0.6.1 255.255.255.0
 duplex auto
 speed auto
 media-type rj45
!
router bgp 65004
 bgp log-neighbor-changes
 redistribute connected
 neighbor 10.0.6.2 remote-as 65000
!         
end 

Vérification

Cette section fournit des informations que vous pouvez utiliser pour confirmer que la configuration fonctionne correctement :

Commandes de vérification PE à CE

• show ip vrf - Vérifie que le VRF correct existe.
• show ip vrf interfaces - Vérifie les interfaces activées.
• show ip route vrf<VRF name> : vérifie les informations de routage sur les routeurs PE.
• traceroute vrf<VRF name> <IP address> : vérifie les informations de routage sur les routeurs PE.
• show ip cef vrf<VRF name><IP address> detail : vérifie les informations de routage sur les routeurs PE.

Commandes de vérification MPLS LDP

• show mpls interfaces
• show mpls forwarding-table
• show mpls ldp bindings
• show mpls ldp neighbor  

Commandes de vérification PE à PE/RR

• show bgp vpnv4 unicast all summary 
• show bgp vpnv4 unicast all neighbor <neighbor IP address> advertised-routes : vérifie les préfixes VPNv4 envoyés
• show bgp vpnv4 unicast all neighbor <neighbor IP address> routes  : vérifie les préfixes VPNv4 reçus

Voici un exemple de sortie de commande de show ip vrf.

PE-1#show ip vrf
  Name                             Default RD            Interfaces
  Client_A                         100:110               Gi0/1
  Client_B                         100:120               Gi0/2

Voici un exemple de sortie de la commande show ip vrf interfaces.

PE-2#show ip vrf interfaces 
Interface              IP-Address      VRF                              Protocol
Gi0/2                  10.1.6.2        Client_A                         up      
Gi0/3                  10.0.6.2        Client_A                         up      
Gi0/1                  10.0.6.2        Client_B                         up    

Dans l’exemple suivant, les commandes show ip route vrf affichent le même préfixe 10.0.6.0/24 dans les deux sorties. En effet, le PE distant a le même réseau pour deux clients Cisco, CE_B2 et CE_A3, ce qui est autorisé dans une solution VPN MPLS typique.

PE-1#show ip route vrf Client_A

Routing Table: Client_A
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C        10.0.4.0/24 is directly connected, GigabitEthernet0/1
L        10.0.4.2/32 is directly connected, GigabitEthernet0/1
B        10.0.6.0/24 [200/0] via 10.10.10.6, 11:11:11
B        10.1.6.0/24 [200/0] via 10.10.10.6, 11:24:16
PE-1#

PE-1#show ip route vrf Client_B

Routing Table: Client_B
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is not set

      10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C        10.0.4.0/24 is directly connected, GigabitEthernet0/2
L        10.0.4.2/32 is directly connected, GigabitEthernet0/2
B        10.0.6.0/24 [200/0] via 10.10.10.6, 11:26:05 

Lorsque vous exécutez un Traceroute entre deux sites, dans cet exemple deux sites de Client_A (CE-A1 à CE-A3), il est possible de voir la pile d’étiquettes utilisée par le réseau MPLS (s’il est configuré pour le faire par mpls ip propagation-ttl ).

CE-A1#show ip route 10.0.6.1
Routing entry for 10.0.6.0/24
  Known via "bgp 65002", distance 20, metric 0
  Tag 65000, type external
  Last update from 10.0.4.2 11:16:14 ago
  Routing Descriptor Blocks:
  * 10.0.4.2, from 10.0.4.2, 11:16:14 ago
      Route metric is 0, traffic share count is 1
      AS Hops 2
      Route tag 65000
      MPLS label: none
CE-A1#

CE-A1#ping 10.0.6.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.6.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 7/8/9 ms
CE-A1#

CE-A1#traceroute 10.0.6.1 probe 1 numeric
Type escape sequence to abort.
Tracing the route to 10.0.6.1
VRF info: (vrf in name/id, vrf out name/id)
  1 10.0.4.2 2 msec
  2 10.1.1.13 [MPLS: Labels 20/26 Exp 0] 8 msec
  3 10.1.1.6 [MPLS: Labels 21/26 Exp 0] 17 msec
  4 10.0.6.2 [AS 65004] 11 msec
  5 10.0.6.1 [AS 65004] 8 msec 

Remarque : Exp 0 est un champ expérimental utilisé pour la qualité de service (QoS).

La prochaine sortie montre la contiguïté IS-IS et LDP établie entre le réflecteur de routage et certains des routeurs P du réseau central du fournisseur de services :

RR#show isis neighbors 

Tag null:
System Id       Type Interface     IP Address      State Holdtime Circuit Id
P-1        L2   Gi0/0         10.1.1.1        UP    25       RR.01        
P-2         L2   Gi0/1         10.1.1.9        UP    23       RR.02        
RR#

RR#show mpls ldp neighbor 
    Peer LDP Ident: 10.10.10.1:0; Local LDP Ident 10.10.10.2:0
        TCP connection: 10.10.10.1.646 - 10.10.10.2.46298
        State: Oper; Msgs sent/rcvd: 924/921; Downstream
        Up time: 13:16:03
        LDP discovery sources:
          GigabitEthernet0/0, Src IP addr: 10.1.1.1
        Addresses bound to peer LDP Ident:
          10.1.1.13       10.1.1.5        10.1.1.1        10.10.10.1      
    Peer LDP Ident: 10.10.10.3:0; Local LDP Ident 10.10.10.2:0
        TCP connection: 10.10.10.3.14116 - 10.10.10.2.646
        State: Oper; Msgs sent/rcvd: 920/916; Downstream
        Up time: 13:13:09
        LDP discovery sources:
          GigabitEthernet0/1, Src IP addr: 10.1.1.9
        Addresses bound to peer LDP Ident:
          10.1.1.6        10.1.1.9        10.10.10.3      10.1.1.21        

Informations connexes

• Référence de la commande MPLS
• Assistance et documentation techniques - Cisco Systems
• Vérifier le transfert VPN de couche MPLS 3